目录
1 什么是VPN
VPN(Virtual Private Network)虚拟专用网络。
依靠ISP和其他的NSP,在公共网络中建立专用的数据通信网络的技术,可以为企业之间或者个人与企业之间提供安全的数据传输隧道服务。
在VPN中任意两点之间的连接并没有传统专网所需的端到端的物理链路,而是利用公共网络资源动态组成的,可以理解为通过私有的隧道技术在公共数据网络上模拟出来的和专网有同样功能的点到点的专线技术。
所谓虚拟是指不需要去拉实际的长途物理线路,而是借用了公共Internet网络实现。
类似VPN隧道:SSH、LVS、TUN(ipip)、IPsec、OpenVPN
1.1 VPN企业应用分类
1、远程访问VPN
员工个人电脑通过远程拨号到企业办公网络,如公司的OA系统
运维人员远程拨号到IDC机房,远程维护服务器
2、企业内部网络之间VPN服务
公司分支机构的局域网和总公司的LAN之间的VPN连接。如各大超市之间的业务结算等
3、互联网公司多IDC机房之间VPN服务
不同机房之间业务管理和业务访问,数据流动
4、企业外部VPN
在供应商,合作伙伴的LAN和本公司的LAN之间建立的VPN服务。
5、访问国外的网站
翻墙业务应用
1.2 常见隧道协议介绍
1、PPTP(Point to Point Tunneling Protocol,点对点隧道协议)默认端口号:1723,工作在第二层(数据链路层)。其是由包括微软3Com等公司组成的PPTP论坛开发的一种点到点隧道协议,基于拨号使用PPP协议,使用PAP或CHAP之类的恶加密算法,或者使用Microsoft的点对点加密短发MPPE。其通过跨越基于TCP/IP的数据网络创建VPN实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP支持通过公共网络(例如Internet)建立按需的、多协议的,虚拟专用网络。PPTP允许加密IP通讯,然后在要跨越公司IP网络或公共网络发送的IP头重对其进行封装。典型的Linux平台的开源软件为pptp。其将控制包与数据包分开,控制包采用TCP控制。PPTP使用TCP协议,适合在没有防火墙限制的网络中使用。比较适合远程的企业用户拨号到企业内部进行办公等的应用。
2、L2TP
3、IPSEC
4、SSL VPN-> OpenVPN
1.3 常见实现VPN的开源软件
1、PPTP VPN 最大优势是Windows原生支持,不需要安装客户端;缺点是很多小区及园区网络设备不支持pptp导致无法访问。开源软件PPTP。
2、SSL VPN 典型OpenVPN。不但适合用于pptp的场景,还适合对企业异地两点总公司之间的VPN不间断按需连接。缺点需要安装客户端。
3、IPSEC VPN 适合针对企业异地两地总分公司或多个IDC机房之间VPN不间断按需连接,并且在部署使用上更简单方便。开源产品openswan。
对比:
易用性:PPTP > L2TP > OpenVPN
速度:PPTP > OpenVPN UDP> L2TP > OpenVPN TCP
安全性:OpenVPN > L2TP > PPTP
稳定性:OpenVPN > L2TP > PPTP
网络适用性:OpenVPN > PPTP > L2TP
2 配置pptp VPN
2.1 查看系统是否开启ppp
[root@m01 ~]# cat /dev/ppp
cat: /dev/ppp: No such device or address如果出现以上提示则说明ppp是开启的,可以正常架设pptp服务,若出现Permission denied等其他提示,你需要先去VPS面板里看看有没有enable ppp的功能开关,如果没有则需要发个消息给你的提供商,让他们帮你开通,否则就不必要看下去了,100%无法成功配置PPTP。
2.2 配置pptp
#环境准备
[root@m01 ~]# setenforce 0 # 关闭selinux
[root@m01 ~]# getenforce # 查看selinux状态
Permissive
[root@m01 ~]# /etc/init.d/iptables stop
# 设置内核转发功能
[root@m01 ~]# sysctl net.ipv4.ip_forward=1 # 临时设置
net.ipv4.ip_forward = 1
[root@m01 ~]# sed -i 's#net.ipv4.ip_forward = 0#net.ipv4.ip_forward = 1#g' /etc/sysctl.conf # 永久生效
[root@m01 ~]# sysctl -p
# 安装pptp,要先有epel源
wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-6.repo
yum -y install pptpd
# 配置pptp,编辑pptp的配置文件
cat >>/etc/pptpd.conf<<EOF
localip 10.0.0.61
remoteip 172.16.1.2-254
EOF
# 解释下这两段,只需要改这两段即可
localip(本机公网IP)
remoteip(分配VPN用户的内网网段)
# 设置用户与密码
[root@m01 ~]# vim /etc/ppp/chap-secrets
rsq * 123 *
# 第一列设置用户名,第二列基本不用,第三列设置用户密码,第四列可以指定分配给用户的IP地址,这里用*指定所有即可(看需求)
# 启动pptpd服务
[root@m01 ~]# /etc/init.d/pptpd start
Starting pptpd: [ OK ]
[root@m01 ~]# tailf /var/log/messages # 可以查看pptp日志
May 12 09:12:26 m01 kernel: PPP generic driver version 2.4.2
May 12 09:20:34 m01 yum[36030]: Installed: ppp-2.4.5-10.el6.x86_64
May 12 09:20:34 m01 yum[36030]: Installed: pptpd-1.4.0-3.el6.x86_64
May 12 09:39:34 m01 pptpd[36486]: MGR: connections limit (100) reached, extra IP addresses ignored
May 12 09:39:34 m01 pptpd[36487]: MGR: Manager process started
May 12 09:39:34 m01 pptpd[36487]: MGR: Maximum of 100 connections available # 最大100个连接的数量
[root@m01 ~]# netstat -lntup |grep pptpd
tcp 0 0 0.0.0.0:1723 0.0.0.0:* LISTEN 36487/pptpd2.3 Windows客户端测试
连接成功,但是会发现不能正常上网,是因为网关的问题,配置完VPN后需要把VPN网络选项中的 在远程网络上使用网关选项给取消即可
重新连接VPN即可正常上网
2.4 VPN连接报错解决
在创建VPN连接后,点击连接会一直处于连接状态,而后报错连接失败,请重试的信息,这个问题可以在VPN属性,安全中,修改一下VPN类型,有时候会有影响。
